والاستریت ژورنال گزارش داد زمانی که این شرکت امنیتی، سال گذشته میلادی، متوجه شد توسط ویروسی که اعتقاد بر این است جاسوسان اسرائیلی آن را مورد استفاده قرار میدهند، هک شده است، سعی کرد اماکن دیگری را که هدف قرار گرفتهاند شناسایی کند. این شرکت میلیونها رایانه را در سراسر جهان مورد بررسی قرار داده متوجه شد سه هتل لوکس در اروپا نیز مورد حمله قرار گرفتهاند. هیچ هتل دیگری تحت حمله قرار نگرفته بود.
مسئولین کاسپراسکای در تحقیقاتی که برای کشف ارتباط بین این هتلها انجام دادند متوجه شدند که هر سه هتل در گذشته محل برگزاری مذاکرات هستهای بین ایران و گروه 1+5 بودهاند.
این ویروس نسخه بهبودیافته ویروسی بهنام «دوقو» (Duqu) بود که برای اولین بار توسط کاسپراسکای در سال 2011 کشف شد. مقامات کنونی و سابق آمریکا و بسیاری از کارشناسان امنیت سایبری بر این باور هستند که دوقو برای انجام پیچیدهترین عملیات جمعآوری اطلاعات توسط رژیم صهیونیستی مورد استفاده قرار میگرفت.
به گزارش اقتصاد آنلاین به نقل از تسنیم، یافتههای کاسپراسکای، که قرار است امروز (چهارشنبه) بهصورت علنی منتشر شوند، مدرکی عینی هستند که نشان میدهند مذاکرات هستهای ایران توسط چهکسانی مورد جاسوسی قرار گرفتهاند.
کاسپراسکای بر اساس خطمشیی که دارد رژیم صهیونیستی را بهعنوان عامل این حملات معرفی نکرده است اما محققین در شرکت میگویند که از روی نشانهها میتوان گفت اسرائیل در این حمله نقش داشته است، برای مثال، شرکت در این گزارش از عنوان «دوقو بت» (The Duqu Bet) استفاده کرده است. Bet دومین حرف در الفبای عبری است.
محققین کاسپراسکای میگویند سؤالات بدون جواب بسیاری درباره اینکه ویروس چگونه استفاده شده و چه اطلاعاتی ممکن است ربوده باشد، وجود دارند. یکی از احتمالات این است که ویروس توانسته مکالمات را استراق سمع کرده و از طریق تسلط بر سیستمهای هتل که به رایانهها، تلفنها، آسانسورها و سیستمهای هشدار وصل هستند فایلهای الکترونیکی را ربوده و آنها را روشن و خاموش کنند تا اطلاعات جمعآوری کنند.
افراد مطلع میگویند پلیس فدرال آمریکا تحلیلهای کاسپراسکای را بررسی میکند و هنوز نتیجهگیریهای این شرکت را تأیید نکرده است. با این حال مقامات آمریکایی میگویند از این گزارش متعجب نشدهاند.
یکی از دستیاران ارشد نمایندگان کنگره تأیید کرده که یافتههای کاسپراسکای معتبر هستند. وی گفت: «ما این مسئله را جدی میگیریم».
کاسپراسکای، که صدها میلیون رایانه در سراسر جهان را تحت محافظت دارد، تا شش ماه پس از حمله متوجه نشد که رایانههای این شرکت تحت حمله قرار گرفتهاند. هکرها و نهادهای جاسوسی سابقهای طولانی در حمله به شرکتهای امنیتی دارند، خاصه بهخاطر اطلاعات ذیقیمتی که میتوانند در مورد شیوههای دفاعی و حفاظتی در اینترنت به دست آورند.
«کاستین رایو»، مدیر تحقیقات و تحلیل جهانی کاسپراسکای گفت که مهاجمان ابتدا کارکنان این شرکت را در دفاتر اقماری آن در ناحیه آسیا ــ پاسیفیک هدف قرار دادهاند، حملاتی که احتمالاً از طریق ایمیلهای حاوی ضمیمههایی که ویروس در آنها پنهان شده بود، انجام شده است.
با بازکردن این ضمیمه، پرسنل این شرکت ناآگاهانه به ویروس اجازه میداد تا رایانه وی با آن چیزی که بهباور کاسپراسکای یک ابراز هک موسوم به «شاهکار روز صفر» است، آلوده شود. چنین ابزارهایی میتوانند از حفرههای امنیتی که شناخته نشدهاند، استفاده کنند و نرمافزارهای شرکت فرصتی برای ممانعت از نفوذ مخفیانه آنها به درون سیستمهای کاسپراسکای ندارند. کاسپراسکای گفته است که هکرها از دو ابراز هک برای نفوذ بیشتر به درون سیستمهای این شرکت استفاده کردهاند.
کاسپراسکای و کارشناسان خارج از این شرکت میگویند که این امر بهتنهایی نشان دهنده پیچیده بودن عملیات هکرها است. تولید این نوع از ابزارها بسیار گران است و کارایی آنها تنها برای بار اولی که به کار گرفته میشوند، تضمین شده است. پس از آن، شرکتها میتوانند از طریق وصلههای امنیتی، ضدویروسهایی دیجیتال را (علیه آن) تولید کنند.
پژوهشگران امنیتی همچون کاستین رایو اغلب نه تنها بهدنبال یافتن هکرها هستند بلکه بهدنبال یافتن ارتباط بین نفوذهای صورت گرفته از طریق تحقیقات کارآگاهی هستند. این کار ترکیبی از علوم رایانه، غریزه و شانس است. در این مورد، رایو ارتباطی را بین این ویروس جدید و دوقو مشاهده کرد.
بهگفته یک مقام سابق آمریکایی، از دید نهادهای اطلاعاتی آمریکایی، آلودگی دوقو یک عملیات جاسوسی اسرائیلی است. کاسپراسکای در گزارش خود نوشت، در حالی که ویروس جدید نشانه آشکاری از ارتباط با اسرائیل ندارد، اما بسیار پیچیده بوده و بهمیزان زیادی وامدار دوقو است بهگونهای که «نمیتوانسته به دست کسی بدون دسترسی به سورسکدهای اصلی دوقو ایجاد شود».
رایو برای حصول اطمینان از نتیجهگیری خود چند هفته پیش یک ایمیل به یکی از دوستان خود بهنام «بولیدژار بنکساث»، که پژوهشگر آزمایشگاه رمزنگاری و سیستمهای امنیتی در دانشگاه فناوری و اقتصاد بوداپست است، فرستاد. بنکساث در سال 2011 از جمله کسانی است که در کشف ویروس اصلی دوقو همکاری داشته است.
بنکساث روز سهشنبه در یک گفتگو عنوان داشت که «آنها خیلی شبیه به هم بودند». ارزیابی وی این است که تیمی متشکل از 10 نفر و بهمدت دو سال نیاز است تا بتوانند چنین سیستم (ویروس) تمیزی را تولید کنند، مگر اینکه آنها همان نویسندگان اصلی کدویروس دوقو باشند.
در اوایل بهار، کاسپراسکای متوجه شد که هدف نفوذهای دیجیتال متعددی که خود بهدنبال کشف آنها است، میباشد.
یکی از کارکنان کاسپراسکای در مسکو هنگامی که یک برنامه امنیتی نوین را روی رایانه یکی از شرکتهایی که بهزعم وی بدون رخنه بود، نصب میکرد، ویروس را یافت. کاسپراسکای بهجای آنکه بهدنبال بیرون راندن هکرها باشد، یک تیم ویژه را برای نظارت بر ویروس ــ هنگام فعالیت آن ــ ایجاد کرد تا بتوانند چگونگی فعالیت ویروس و هدف مدنظر از طراحی آن را متوجه شوند.
راهی که ویروس از طریق آن عمل میکرد برای اعضای این تیم شگفتآور بود. این ویروس از یک سیستم به یک سیستم دیگر جهش میکرد، و بهآرامی تعداد فزایندهای از رایانهها را مورد هدف قرار میداد. ویروس در راستای مخفی کردن مسیر خود، رایانههایی را که برای هکرها دیگر ارزش خاصی نداشت ترک میکرد، آنهم در شرایطی که فایل کوچک را در آنها به جای میگذاشت که به آنها اجازه میداد در فرصت و زمانی دیگر بتوانند به این رایانه بازگردند.
رایو عنوان داشت که شرکت آماده روبهرو شدن با نفوذها و جاسوسیهای سایبری است، اما انتظار چیزی به این پیچیدگی را نداشت. مهاجمان بهآرامی از طریق سیستمهای کاسپراسکای حرکت میکردند تا از جلب توجه خودداری کنند. رایو نتیجه گرفت که آنها احتمالاً برای پنهان ماندن بیش از هرچیز دیگری ارزش قائل بودند. این شرکت نام این ویروس جدید و بهبود یافته را دوقو2.0 (Duqu2.0) نهاده است.
کاسپراسکای در یک بیانیه مکتوب که همراه این گزارش منتشر کرد، عنوان داشت که فکر نمیکند این حادثه مشتریانش را بهمیزان بیشتری در مقابل مهاجمان آسیبپذیر کرده باشد. این شرکت اعلام کرد «آزمایشگاه کاسپراسکای مطمئن است که مشتریان و شرکای آن ایمن هستند و هیچ تأثیری بر محصولات، فناوریها و خدمات آن نداشته است».
این شرکت برای تشخیص اینکه کدامیک از 270هزار مشتری آن در سرتاسر جهان آلوده شده است، آزمایشهایی را انجام داده است. فهرست مشتریان کاسپراسکای شامل شرکتهای بزرگ انرژی، بانکهای اروپایی و هزاران هتل است.
این شرکت متوجه شد که تعداد محدودی از مشتریان آن در اروپای غربی، آسیا و خاورمیانه آلوده شدهاند. هیچکدام از مشتریان این شرکت در ایالات متحده هدف قرار نگرفتهاند. انجام حملات سایبری علیه یک هتل هرچند برای محققان این شرکت غیرمعمول به نظر میآمد اما غیرمسبوق نبوده است.
هتلهای محل مذاکرات هستهای دو تا سه هفته پیش از برگزاری نشستها آلوده شدهاند
رایو گفت که اولین هتلی که رایانههای آن به دوقو2.0 آلوده شده بودند نظر وی را جلب کرد، خاصه زیر سایه افشاگریهایی که نشریات در مورد تلاشهای جاسوسی اسرائیل انجام دادهاند. این هتل، بهگفته وی، یک محل مشهور برای برگزاری مذاکرات هستهای بود. اما وی مطمئن نبود که این یک مورد یکتا و جدا از بقیه باشد.
کمی پس از آن، کاسپراسکای، ویروس یکسانی را در یک هتل لوکس دیگر یافت. در ابتدا، رایو هیچ ارتباطی بین این هتل و مذاکرات هستهای نیافت. اما، چند هفته پس از اینکه متوجه وجود این ویروس در هتل دوم شد، وی فهمید که مذاکرات هستهای قرار است در آنجا برگزار شود. رایو به یاد میآورد که تیم وی «شوکه» شدند. در هر دو مورد، هتلها حدود دو تا سه هفته پیش از برگزاری مذاکرات آلوده شده بودند.
کاسپراسکای اطلاعاتی در مورد دوقو2.0 را به یکی از شرکای خود ارائه کرد، که این شرکت نیز تستهای خود را انجام داده بود. این تستها یک هتل سوم آلوده شده را نشان داد که میزبان مذاکرات هستهای بوده است. رایو گفت که هتل سوم که آلودگی آن آخر از همه کشف شده است، اما پیش از همه و در سال 2014 آلوده شده بود.
هتلهایی که میزبان برگزاری مذاکرات هستهای بودند شامل هتل بوریواژ پالایس در لوزان، هتل اینترکانتیننتال در ژنو، هتل پاله کوبورگ در وین، هتل پرزیدنت ویلسون در ژنو، هتل بایریشرهوف در مونیخ، و هتل رویال پلازای مونترو در مونتروی سوئیس بودند.
سخنگوی هتل بوریواژ گفت که هتل از این بابت که هک شده است آگاه نبوده است. یک مدیر موظف در هتل اینترکانتیننتال گفت که وی از چنین حادثهای آگاهی نداشته است. تیم مدیریت هتل رویال پلازا نیز گفت: «سیاست داخلی ما اجازه نمیدهد که هیچ اطلاعاتی را ارائه کنیم».
علاوه بر سه هتلی که طبق این گزارش هک شدهاند، این ویروس روی رایانههای یک سایت که برای بزرگداشت هفتادمین سالگرد آزادسازی اردوگاه مرگ آشویتس استفاده شده بود نیز یافت شده است. برخی از رهبران جهان در این مراسم شرکت کرده بودند.
یک مقام سابق اطلاعاتی ایالات متحده گفت که هدف گرفتن چنین تجمعات بینالمللی برای اسرائیل و دیگر کشورها عادی است. وی گفت: «تنها چیزی که اکنون غیرعادی به شمار میرود این است که شما چیزی در مورد آن بشنوید».
رایو گفت که کاسپراسکای نمیداند که چهچیزی از این سه هتل و یا دیگر اماکن دزدیده شده است. وی گفت که این ویروس با بیش از 100 «ماژول» مجزا همراه بوده است که مهاجمان را قادر میساخته تا رایانههای آلوده شده را تحت کنترل درآورند.
یک ماژول برای فشرده کردن فیدهای ویدئویی طراحی شده بود، که احتمالاً هدف آن دوربینهای نظارتی هتلها بوده است. ماژولهای دیگر نیز (انواع) ارتباطات را از تلفنهای همراه گرفته تا شبکههای وای ــ فای هدف گرفته بودند. در این صورت مهاجمان میتوانستند بفهمند که چهکسی به سیستمهای آلوده متصل شدهاند و به آنها اجازه میداد تا مکالمات را شنود کرده و فایلهای الکترونیکی را به سرقت ببرند. این ویروس میتوانست آنها را قادر سازد تا میکروفونهای دوطرفه را در آسانسورها، رایانهها و سیستمهای هشدار فعال کنند.
علاوه بر آن، هکرها ظاهراً به رایانههای بخش رزرو هتلها نیز نفوذ کردهاند، که به آنها اجازه میداد تا شماره اتاق اعضای یک هیئت خاص را تشخیص دهند.
این ویروس همچنین فایلهای کوچک شناسایی و نظارت را روی رایانههایی که از آنها عبور کردهاند بهجای میگذاشتند تا مهاجمان بتوانند آنها را نظارت کرده و در فرصتی دیگر محتوای آن رایانهها را مورد استفاده قرار دهند.
جاسوسی صهیونیستها از هتل محل مذاکرات
یک شرکت معتبر امنیت سایبری اعلام کرد یک ویروس با منشأ اسرائیلی سه هتل محل مذاکرات هستهای ایران در اروپا را هدف قرار داده است.
صاحبخبر -
∎
شرکت امنیتی کاسپراسکای، یکی از بزرگترین شرکتهای نرمافزاری در حوزه امنیت سایبری، اعلام کرد سه هتل میزبان مذاکرات هستهای ایران و گروه 1+5 هدف ویروسی قرار گرفتهاند که به نظر میرسد توسط جاسوسان اسرائیلی استفاده میشدند.